漏洞赏金前的关键一步:全面资产清单管理指南

本文详细介绍了在启动漏洞赏金计划前建立全面资产清单的重要性,涵盖各类硬件、软件、云资产和网络设备的管理方法,以及如何通过专业工具提升资产可见性,为有效网络安全防护奠定基础。

资产可见性:网络安全的第一道防线

如果您不知道环境中运行着什么,就无法进行修补、监控或保护。简单的事实是:您无法保护自己不知道存在的东西。如果您的团队不确定某个资产(如子域或未修补的测试服务器),它就不会被纳入安全控制范围。如果未被发现,最终威胁行为者会找到并利用它。

正如Intigriti的顶级漏洞赏金猎人在"第二季度顶级黑客"中讨论的那样:“您总能找到被遗忘的服务器。可能总有一个DNS条目指向私有地址空间;如果您发现服务器端请求伪造(SSRF),这可能会在以后用到。也许那个测试服务器不像生产服务器那样指向Cloudflare。”

缺乏资产管理会导致不安全的设备,进而可能导致漏洞和数据泄露。有效的资产管理是网络安全成熟度的基石,对于有意义的漏洞赏金结果至关重要。

满足网络安全合规要求

由于最新的资产清单是风险管理、事件响应和漏洞扫描的基础,包括ISO27001、SOC2、NIS2、NIST和CIS在内的多个网络安全框架都强调了其重要性。

例如,网络与信息安全指令(NIS 2)是一个法律框架,旨在提高整个欧盟(EU)的网络安全和关键基础设施。符合NIS2要求的第一步是展示所有IT资产的状态。这包括能够识别所有使用的硬件和软件,然后能够评估相关的风险级别。

ISO27001保证了对财务信息、知识产权、员工详细信息或第三方委托信息等资产的安全管理和保护。它还要求公司识别和记录其资产,识别相关风险,并采取措施保护所述资产。

SOC2(系统和组织控制)是一项合规标准,要求企业根据五个关键信任标准管理和保护敏感数据。这些标准是安全性、可用性、处理完整性、机密性和隐私性。在资产管理的背景下,SOC2强调维护准确的物理和数字资产清单,执行访问控制,确保系统可用性,保护敏感和个人数据,以及管理完整的资产生命周期。

NIST网络安全框架将资产管理作为其"识别"部分的第一步:“识别和管理能够使组织实现业务目的的数据、人员、设备、系统和设施,使其与业务目标相对重要性和组织的风险策略保持一致。”

互联网安全中心(CIS)控制措施侧重于清点硬件和软件资产。控制1规定了企业资产的控制:“主动管理(清点、跟踪和纠正)所有连接到基础设施的企业资产(终端用户设备,包括便携式和移动设备;网络设备;非计算/物联网设备;以及服务器),无论是物理连接、虚拟连接、远程连接,还是云环境中的连接,以准确了解企业内需要监控和保护的全部资产。这也将支持识别未经授权和未管理的资产以进行移除或修复。“而控制2规定了维护全面的软件资产清单:“主动管理(清点、跟踪和纠正)网络上的所有软件(操作系统和应用程序),以便只有授权软件可以安装和执行,并且可以找到未经授权和未管理的软件并阻止其安装或执行。”

资产清单应包含的内容

一个合格的资产清单应包括公司域内的所有内容,包括硬件、软件、云资产、网络设备、域和子域。

硬件应包括移动设备、笔记本电脑、物联网设备和服务器等元素。软件应包括所有应用程序、许可证和固件。

许多模糊或不常用的元素可能会被遗漏。例如,打印机或通过配电网络运营商(DNOs)连接到电网的充电桩可能会被遗漏。

对于云资产,请确保包括存储账户,以及无服务器功能、云、虚拟机和S3存储桶。

在网络设备列表中,分类所有交换机、路由器和防火墙。域和子域应包括所有活动域和停放域以及DNS记录。

另一个要提供的元素是影子IT,例如流氓设备、开发人员实例和非官方的SaaS工具。

可见性挑战

尽管拥有最新的资产列表的重要性显而易见,并且有许多关于应包含内容的指南可用,但这引出了一个问题:“为什么资产管理对大多数公司来说仍然是一个挑战?”

嗯,许多本地环境仍然依赖手动流程,而且通常是过时的CMDB。

对于基于云的客户,挑战在于使用孤立的云解决方案,这些解决方案可能最终不会出现在中央资产管理列表中。

简化资产可见性的工具

没有一刀切的解决方案,但根据您的环境,可以使用一系列工具来开始。

对于混合和以云为中心的环境,您可以使用诸如Asset Panda之类的工具,该工具可用于资产跟踪以及硬件和软件清单报告。它附带移动支持、自定义工作流程和条形码扫描。

BlueTally可用于资产管理,并与Azure AD、Intune和JAMF等其他平台集成,可用于跟踪分配以及生命周期。

Microsoft Intune可用于跨移动设备、操作系统和Windows计算机管理终端安全性、清单和合规性。以及移动设备管理(MDM)解决方案,如Intune和JAMF。

对于传统的本地服务,Active Directory(AD)可用于跟踪域加入的设备、用户和组,并提供策略实施。

ServiceNow IT资产管理(ITAM)是一个企业级资产和配置管理平台,具有流程自动化功能。

对于混合环境,诸如Lansweeper之类的工具可以提供无代理网络进行资产发现和清单。

Snipe-IT是一个开源的IT资产管理系统,专为需要本地部署的中小型公司设计。

后续步骤

在跳到网络安全待办事项列表中的下一项之前,请停下来问自己、您的团队和您的公司:“我们知道我们拥有什么吗?”

如果答案不是100%的是,那么开始研究您的资产管理。这是真正网络安全的起点。准确的资产管理将是构建安全成熟度的基础,也将是富有成果的漏洞赏金狩猎的基础。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次